[Sécurité] Petit exercice de cryptage

raptor1 · 03/09/2006, 22h56

Bousoir à tous,

Je suis en pleine phase de conception de mon site et je réfléchissait sur la sécutité quand m'est apparu ce problème.

Sur plusieurs sujet dans le forum et dans plusieurs tutoriels, il est conseillé de crypté le mot de passe entré à l'identification par un utilisateur afin d'éviter que les mots de passe circulent en clair sur le réseau.
Il faut donc crypté le mot de passe avec Javascript et le placé dans un champ caché du formulaire d'identification.
Le mot de passe circulera alors crypté sur le réseau. mais si un petit malin le chope, il n'a plus qu'à l'introduire dans le formulaire et à désactiver Javascript pour s'identifier. Du coup ca ne sert pas à grand chose de crypté le mot de passe avec Javascript!

Voilà mon problème (j'espère avoir été assez clair

)

1° - Mon raisonnement est-il juste?
2° - Si oui il y a-t-il une solution sans utilisé un certficat (SSH ou SSL)?
3° - Peut-on obligé à activer Javascript?
4° - Il y a-t-il un autre langague qui s'exécute côté client qui permette cela?

Merci de votre aide.

Eusebius · 03/09/2006, 23h21

Citation:

Envoyé par raptor1

1° - Mon raisonnement est-il juste?

Globalement, oui (c'est à dire qu'au premier abord, il me parait juste)

Citation:

Envoyé par raptor1

2° - Si oui il y a-t-il une solution sans utilisé un certficat (SSH ou SSL)?

Pour moi la solution est SSL, elle passe donc par un certificat. Pourquoi n'en souhaites-tu pas ?

Citation:

Envoyé par raptor1

3° - Peut-on obligé à activer Javascript?

Non. Fais comme si l'utilisateur pouvait contourner Javascript. Continue de penser comme ça...

Citation:

Envoyé par raptor1

4° - Il y a-t-il un autre langague qui s'exécute côté client qui permette cela?

Tu pourrais sans doute passer par une applet, mais c'est beaucoup de bruit pour rien, et encore une fois pour être sûr de ton coup il faudrait la certifier. Je persiste : à mon avis tu devrais considérer SSL (TLS) comme une solution intéressante.

raptor1 · 03/09/2006, 23h32

Ok

Donc pour toi la seule solution est un certificat SSL.

En fait je sais absolument pas comment on peut mettre en place un solution de ce type.
J'évite de trop me lancé dans l'inconnu, je me suis déjà planté lourdement pou être parti dans un système que je ne connaissait pas.
Mais bon si ca se trouve ce n'est peut-être pas si difficile que ca a mette en place! Je ne demande qu'à apprendre!

Yogui · 04/09/2006, 02h55

Salut

Il existe une solution pour éviter le trop-plein de spam d'un formulaire (comprendre : qu'un spammeur copie ton formulaire sur son ordinateur et le lance quand ça lui chante). Il s'agit d'inclure un champ caché contenant une valeur aléatoire conservée en session. Lorsque l'utilisateur envoie le formulaire, la valeur du champ caché doit correspondre à la valeur conservée dans la session sur le serveur. Cela permet déjà de limiter la situation que tu décris, tout en n'étant pas une solution suffisante.

Tu peux ajouter un contrôle sur l'IP, l'agent (le navigateur), etc. en même temps que tu vérifies la correspondance de ces valeurs aléatoires. Si n'importe lequel de ces paramètres a changé, alors tu as toutes les chances pour avoir affaire à un pirate. Cela dit, ces informations sont trop aisément falsifiables...

La seule véritable solution consiste effectivement à utiliser un canal sécurisé (en plus des autres bonnes pratiques).

raptor1 · 04/09/2006, 11h46

Citation:

Envoyé par Yogui

Il s'agit d'inclure un champ caché contenant une valeur aléatoire conservée en session.

C'est déjà fait.

Citation:

Envoyé par Yogui

Tu peux ajouter un contrôle sur l'IP, l'agent (le navigateur), etc. en même temps que tu vérifies la correspondance de ces valeurs aléatoires. Si n'importe lequel de ces paramètres a changé, alors tu as toutes les chances pour avoir affaire à un pirate. Cela dit, ces informations sont trop aisément falsifiables...

Et ca aussi.

Merci quand même, ca me permet de vérifier que j'ai pas fait tout ca pour rien.

Quant à la solution du certificat, j'aimerai savoir environ combien ca coute, est-ce compliquer à mettre en place et combien de temps ca prend.

Merci

Yogui · 04/09/2006, 11h48

Il y en a des gratuits.
Flûte, n'avons-nous aucun article sur le sujet ? C'est bien dommage, il faudra y remédier (gros gros appel du pied)...

raptor1 · 04/09/2006, 12h02

Citation:

Envoyé par Yogui

Il y en a des gratuits.

Même pour des sites commerciaux ? Je ne suis pas sûr mais je me trompe peut-être.

Citation:

Envoyé par Yogui

n'avons-nous aucun article sur le sujet ?

J'ai regardé un peu sur le site, mais j'ai pas trouvé grand chose.
Il y a quelques tutoriels qui en parle mais vite fait.
J'ai pas trouver un tutoriel complet sur ce sujet.
C'est dommage vu que c'est une solution qui est beaucoup utilisée. Faudrais y remedier

Eusebius · 04/09/2006, 12h15

Citation:

Envoyé par Yogui

Il y en a des gratuits.
Flûte, n'avons-nous aucun article sur le sujet ? C'est bien dommage, il faudra y remédier (gros gros appel du pied)...

Oui j'ai cherché, et j'ai trouvé que ça manquait aussi... Mais qui s'occupe de la sécurité dans cette baraque ?

03/09/2006, 22h56	#1
raptor1 Invité régulier Inscription : août 2006 Messages : 28 Détails du profil Informations forums : Inscription : août 2006 Messages : 28 Points : 7 Points : 7	[Sécurité] Petit exercice de cryptage Bousoir à tous, Je suis en pleine phase de conception de mon site et je réfléchissait sur la sécutité quand m'est apparu ce problème. Sur plusieurs sujet dans le forum et dans plusieurs tutoriels, il est conseillé de crypté le mot de passe entré à l'identification par un utilisateur afin d'éviter que les mots de passe circulent en clair sur le réseau. Il faut donc crypté le mot de passe avec Javascript et le placé dans un champ caché du formulaire d'identification. Le mot de passe circulera alors crypté sur le réseau. mais si un petit malin le chope, il n'a plus qu'à l'introduire dans le formulaire et à désactiver Javascript pour s'identifier. Du coup ca ne sert pas à grand chose de crypté le mot de passe avec Javascript! Voilà mon problème (j'espère avoir été assez clair ) 1° - Mon raisonnement est-il juste? 2° - Si oui il y a-t-il une solution sans utilisé un certficat (SSH ou SSL)? 3° - Peut-on obligé à activer Javascript? 4° - Il y a-t-il un autre langague qui s'exécute côté client qui permette cela? Merci de votre aide.
	00

04/09/2006, 02h55	#4
Yogui Rédacteur Guillaume Rossolini Directeur technique Inscription : février 2004 Messages : 13 720 Détails du profil Informations personnelles : Nom : Guillaume Rossolini Localisation : France Informations professionnelles : Activité : Directeur technique Informations forums : Inscription : février 2004 Messages : 13 720 Points : 17 355 Points : 17 355	Salut Il existe une solution pour éviter le trop-plein de spam d'un formulaire (comprendre : qu'un spammeur copie ton formulaire sur son ordinateur et le lance quand ça lui chante). Il s'agit d'inclure un champ caché contenant une valeur aléatoire conservée en session. Lorsque l'utilisateur envoie le formulaire, la valeur du champ caché doit correspondre à la valeur conservée dans la session sur le serveur. Cela permet déjà de limiter la situation que tu décris, tout en n'étant pas une solution suffisante. Tu peux ajouter un contrôle sur l'IP, l'agent (le navigateur), etc. en même temps que tu vérifies la correspondance de ces valeurs aléatoires. Si n'importe lequel de ces paramètres a changé, alors tu as toutes les chances pour avoir affaire à un pirate. Cela dit, ces informations sont trop aisément falsifiables... La seule véritable solution consiste effectivement à utiliser un canal sécurisé (en plus des autres bonnes pratiques). __________________ Mes articles - Zend Certified Engineer (PHP + Zend Framework) Ressources PHP - Ressources Zend Framework
	00

04/09/2006, 11h48	#6
Yogui Rédacteur Guillaume Rossolini Directeur technique Inscription : février 2004 Messages : 13 720 Détails du profil Informations personnelles : Nom : Guillaume Rossolini Localisation : France Informations professionnelles : Activité : Directeur technique Informations forums : Inscription : février 2004 Messages : 13 720 Points : 17 355 Points : 17 355	Il y en a des gratuits. Flûte, n'avons-nous aucun article sur le sujet ? C'est bien dommage, il faudra y remédier (gros gros appel du pied)... __________________ Mes articles - Zend Certified Engineer (PHP + Zend Framework) Ressources PHP - Ressources Zend Framework
	00

03/09/2006, 23h32	#3
raptor1 Invité régulier Inscription : août 2006 Messages : 28 Détails du profil Informations forums : Inscription : août 2006 Messages : 28 Points : 7 Points : 7	Ok Donc pour toi la seule solution est un certificat SSL. En fait je sais absolument pas comment on peut mettre en place un solution de ce type. J'évite de trop me lancé dans l'inconnu, je me suis déjà planté lourdement pou être parti dans un système que je ne connaissait pas. Mais bon si ca se trouve ce n'est peut-être pas si difficile que ca a mette en place! Je ne demande qu'à apprendre!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email